Зловреден софтуер EAGLET Backdoor
Кибершпионажът продължава да се развива, като свързани с държавата злонамерени лица използват все по-измамни тактики. Един от последните инциденти включва сложна кампания, насочена към компрометиране на руския аерокосмически и отбранителен сектор, използваща персонализирана задна врата, наречена EAGLET, за скрито наблюдение и кражба на данни.
Съдържание
Идентифицирана цел: Руска аерокосмическа дейност под обсада
Кампанията, известна като операция CargoTalon, е приписана на клъстер от заплахи с етикет UNG0901 (Неизвестна група 901). Тази група е насочила поглед към Воронежското авиопроизводствено обединение (VASO), голямо руско предприятие за производство на самолети. Нападателите използват тактики за фишинг, които експлоатират документи от типа „товарно-транспортная накладная“ (TTN) – вид формуляр за товарен транспорт, критично важен за логистичните операции в Русия.
Как се развива атаката: Примамки, превърнати в оръжия, и внедряване на зловреден софтуер
Веригата на заразяване започва с фишинг имейли, съдържащи фалшиво съдържание, свързано с доставка на товари. Тези съобщения включват ZIP архиви, съдържащи файл с пряк път на Windows (LNK). Когато се изпълни, LNK файлът използва PowerShell, за да стартира примамлив документ на Microsoft Excel, като едновременно с това инсталира EAGLET DLL backdoor на компрометираната система.
Документът-примамка споменава Obltransterminal, руски оператор на железопътни контейнерни терминали, санкциониран от Службата за контрол на чуждестранните активи (OFAC) към Министерството на финансите на САЩ през февруари 2024 г. - ход, вероятно целящ да добави доверие и неотложност към примамката.
Вътре в EAGLET: Възможности и комуникация C2
Задната вратичка EAGLET е скрит имплант, предназначен за събиране на разузнавателна информация и постоянен достъп. Неговите възможности включват:
- Събиране на системна информация
- Свързване към твърдо кодиран C2 сървър на IP адрес 185.225.17.104
- Анализиране на HTTP отговори за извличане на команди за изпълнение
Имплантът предлага интерактивен достъп до обвивката и поддържа операции за качване/изтегляне на файлове. Поради текущото офлайн състояние на сървъра за командване и контрол (C2), анализаторите не са успели да определят пълния обхват на възможните полезни товари от следващия етап.
Връзки с други заплашителни групи: EAGLET и Head Mare
Доказателствата сочат, че UNG0901 не действа изолирано. Подобни кампании с използване на EAGLET са наблюдавани, насочени към други организации във военния сектор на Русия. Тези операции разкриват връзки с друга хакерска група, известна като Head Mare, идентифицирана с фокуса си върху руски организации.
Ключовите показатели за припокриване включват:
- Прилики в изходния код между инструментите EAGLET и Head Mare
- Споделени правила за именуване във фишинг прикачени файлове
Функционални прилики между EAGLET и PhantomDL, бекдор, базиран на Go, известен със своите възможности за обвивка и прехвърляне на файлове
Ключови изводи: Предупредителни знаци и постоянни заплахи
Тази кампания подчертава нарастващата прецизност на фишинг операциите, особено тези, използващи специфични за домейна примамки, като например TTN документи. Използването на санкционирани обекти във файлове-примамки, комбинирано със специализиран зловреден софтуер като EAGLET, илюстрира нарастваща тенденция в силно насочени шпионски кампании, насочени към критична инфраструктура.
Индикатори за компромис и червени флагове, за които да следите:
- Имейли, съдържащи препратки към товари или документи за доставка от санкционирани руски организации.
- Подозрителни ZIP прикачени файлове, съдържащи LNK файлове, които изпълняват PowerShell команди.
- Изходящи връзки към непознати IP адреси.
Специалистите по киберсигурност трябва да бъдат нащрек за развиващите се тактики на злонамерени лица като UNG0901, особено след като те са насочени към чувствителни сектори с персонализирани импланти на зловреден софтуер и припокриващи се инструменти.
